Expandir a cobertura de investigação avançada com as definições certas
Aplica-se a:
- Microsoft Defender XDR
A investigação avançada baseia-se em dados provenientes de várias origens, incluindo dispositivos, áreas de trabalho Office 365, Microsoft Entra ID e Microsoft Defender para Identidade. Para obter os dados mais abrangentes possíveis, certifique-se de que tem as definições corretas nas origens de dados correspondentes.
Auditoria de segurança avançada em dispositivos Windows
Ative estas definições de auditoria avançadas para garantir que obtém dados sobre atividades nos seus dispositivos, incluindo a gestão de contas locais, a gestão de grupos de segurança local e a criação de serviços.
| Data | Descrição | Tabela de esquema | Como configurar |
|---|---|---|---|
| Account management | Eventos capturados como vários ActionType valores que indicam a criação, eliminação e outras atividades relacionadas com a conta local |
DeviceEvents | - Implementar uma política de auditoria de segurança avançada: Auditar a Gestão de Contas de Utilizador - Saiba mais sobre as políticas avançadas de auditoria de segurança |
| Gestão de grupos de segurança | Eventos capturados como vários ActionType valores que indicam a criação de grupos de segurança local e outras atividades de gestão de grupos locais |
DeviceEvents | - Implementar uma política de auditoria de segurança avançada: Auditar a Gestão de Grupos de Segurança - Saiba mais sobre as políticas avançadas de auditoria de segurança |
| Instalação do serviço | Eventos capturados com o ActionType valor ServiceInstalled, que indica que foi criado um serviço |
DeviceEvents | - Implementar uma política de auditoria de segurança avançada: Auditar a Extensão do Sistema de Segurança - Saiba mais sobre as políticas avançadas de auditoria de segurança |
Microsoft Defender para Identidade sensor no controlador de domínio
Se estiver a executar o Active Directory no local, terá de instalar o sensor de Microsoft Defender para Identidade no controlador de domínio para obter dados para Microsoft Defender para Identidade. Quando instalados e configurados corretamente, estes dados também se alimentam de investigação avançada através de Microsoft Defender para Identidade e fornecem uma imagem mais holística das informações e eventos de identidade na sua rede. Estes dados também melhoram a capacidade de Microsoft Defender para Identidade gerar alertas relevantes que também são abrangidos pela investigação avançada.
| Data | Descrição | Tabela de esquema | Como configurar |
|---|---|---|---|
| Controlador de domínio | Dados de Active Directory local enviados para Microsoft Defender para Identidade, melhorando as informações relacionadas com a identidade, tais como detalhes da conta, atividade de início de sessão e consultas do Active Directory | Várias tabelas, incluindo IdentityInfo, IdentityLogonEvents e IdentityQueryEvents |
-
Instalar o sensor de Microsoft Defender para Identidade - Ativar eventos relevantes do Windows |
Observação
Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Ponto de Extremidade. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Ponto de Extremidade para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Ponto de Extremidade.
Tópicos relacionados
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.